Firma, ktorá spracúva citlivé osobné údaje (napr. rodné číslo, biometrické údaje, zdravotné záznamy) v počítači, ktorý je pripojený na internet, musí mať vypracovaný bezpečnostný projekt. Takže firma, ktorá má zamestnancov, určite spracúva aj ich rodné čísla na účely mzdové a personálne a je vysoká pravdepodobnosť, že tieto údaje má v počítači prepojenom s internetom. To znamená že áno, musí mať vypracovaný bezpečnostný projekt.
Firma, ktorá spracúva mzdy pre prevádzkovateľa dodávateľsky, tzv. sprostredkovateľ, tiež spracúva rodné čísla a s najväčšou pravdepodobnosťou aj v PC pripojenom na internet, takže áno, aj dodávateľská firma musí mať spracovaný bezpečnostný projekt.
Podľa novely zákona je funkcia zodpovednej osoby len fakultatívna, tzn. že bez ohľadu na počet oprávnených osôb, prevádzkovateľ môže ale nemusí vymenovať zodpovednú osobu. Ak ju však nevymenuje, musí informačné systémy oznámiť na Úrade na ochranu osobných údajov.